Ransomware esconde-se em condutores com certificados válidos
A Sophos X-Ops encontrou código malicioso em vários condutores assinados com certificados digitais legítimos. O novo relatório Signed driver malware moves up the software trust chain descreve a investigação, que começou com uma tentativa de ataque de resgate. Os atacantes utilizaram um driver malicioso assinado com um certificado digital legítimo da Microsoft Windows Hardware Compatibility Publisher. O controlador malicioso visa especificamente os processos utilizados pelos pacotes de software de detecção e resposta (EDR) de endpoints chave. Foi instalado por malware associado a agentes de ameaça em torno do Cuba Ransomware Goup - um grupo altamente prolífico que atacou com sucesso mais de 100 empresas em todo o mundo no ano passado. A Sophos Rapid Response foi capaz de impedir com sucesso o ataque. Esta investigação desencadeou uma extensa colaboração entre a Sophos e a Microsoft para tomar medidas e eliminar a ameaça.
Condutores maliciosos assinaram com certificados roubadosOs motoristas podem realizar operações altamente privilegiadas em sistemas. Por exemplo, os drivers de modo kernel podem terminar muitos tipos de software, incluindo software de segurança, entre outros. Controlar que drivers podem ser carregados é uma forma de proteger os computadores contra este tipo de ataque. O Windows requer que os drivers tenham uma assinatura criptográfica - um "selo de aprovação" - antes que o driver possa ser carregado. Contudo, nem todos os certificados digitais utilizados para assinar drivers são igualmente dignos de confiança. Alguns certificados de assinatura digital que foram roubados e divulgados na Internet foram mais tarde mal utilizados para assinar malware; outros certificados foram comprados e utilizados por fornecedores de software PUA sem escrúpulos. A investigação da Sophos sobre um condutor malicioso utilizado para sabotar ferramentas de segurança de endpoints durante um ataque de resgate descobriu que os atacantes adoptaram uma abordagem concertada para passar de certificados digitais menos fiáveis para certificados digitais cada vez mais fidedignos.
Cuba muito provavelmente envolveu"Estes atacantes, muito provavelmente membros do grupo de resgate Cuba, sabem o que estão a fazer - e são persistentes", disse Christopher Budd, director sénior da Sophos, que faz investigação sobre ameaças. "Encontrámos um total de dez motoristas maliciosos, todos eles variantes da descoberta original". Estes condutores mostram um esforço concertado para subir na confiança, com o condutor mais antigo a remontar pelo menos a Julho. Os motoristas mais antigos que encontramos até agora foram assinados com certificados de empresas chinesas desconhecidas. Depois, conseguiram assinar o motorista com um certificado NVIDIA válido, com fugas e revogado. Agora estão a utilizar um certificado legítimo da Microsoft, uma das entidades mais fiáveis no ecossistema Windows, o Windows Hardware Compatibility Publisher Digital. Se olharmos para ele de uma perspectiva de segurança empresarial, os atacantes receberam credenciais empresariais válidas para entrar no edifício sem questionar e fazer o que quiserem", continuou Christopher Budd. Um exame mais atento dos executáveis utilizados na tentativa de ataque de resgate revelou que o condutor malicioso assinado foi descarregado para o sistema alvo utilizando uma variante do carregador BURNTCIGAR, um malware conhecido pertencente ao grupo de resgate de Cuba. Uma vez que o carregador tenha descarregado o driver para o sistema, aguarda que um dos 186 nomes de ficheiros de programas diferentes comummente utilizados pelos pacotes de software EDR e endpoint de segurança chave seja lançado, e depois tenta terminar estes processos. Se for bem sucedido, os atacantes podem implementar o software de resgate.
Tendência actual: tentativa de contornar todos os produtos EDR actuais"Em 2022, observámos que os atacantes de resgates estão cada vez mais a tentar contornar os produtos EDR de muitos, se não da maioria, dos principais vendedores", continuou Christopher Budd. "A técnica mais comum é conhecida como 'trazer o seu próprio motorista', que BlackByte utilizou recentemente. Isto envolve atacantes que exploram uma vulnerabilidade existente num condutor legítimo. É muito mais difícil criar um condutor malicioso a partir do zero e tê-lo assinado por uma autoridade legítima. Contudo, se for bem sucedido, é incrivelmente eficaz, uma vez que o condutor pode executar processos arbitrários sem ser desafiado". No caso deste condutor particular, praticamente todo o software EDR é vulnerável. Felizmente, as medidas adicionais de protecção contra adulterações da Sophos foram capazes de parar o ataque de resgate. A comunidade de segurança precisa de estar ciente desta ameaça para que possam implementar medidas de segurança adicionais. É provável que mais atacantes imitem este modelo". Sophos trabalhou imediatamente com a Microsoft para resolver o problema depois de descobrir o condutor. A Microsoft divulgou mais informações no seu aconselhamento de segurança e divulgou-as como parte do Patch Tuesday.